Art. 8. 1. Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie
    tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych
    i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość
    podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka,
    skutki społeczne i gospodarcze, w szczególności:
    a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym
        polityki tematyczne,
    b) bezpieczeństwo w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu
        informacyjnego, w tym testowanie systemu informacyjnego,
    c) bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrole dostępu,
    d) bezpieczeństwo zasobów ludzkich,
    e) bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT,
        od których zależy świadczenie usługi, z uwzględnieniem związków pomiędzy
        bezpośrednim dostawcą sprzętu lub oprogramo-wania a podmiotem kluczowym lub
        podmiotem ważnym,
    f) wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działania
        umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających
        poufność, integralność, dostępność i autentyczność informacji, planów awaryjnych
        oraz planów odtworzenia działalności umożliwiających odtworzenie systemu
        informacyjnego po zdarzeniu, które spowodowało straty przekraczające zdolności
        podmiotu do odbudowy za pomocą własnych środków,
    g) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemem
        monitorowania w trybie ciągłym,
    h) polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,
    i) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu,
    j) podstawowe zasady cyberhigieny,
    k) polityki i procedury stosowania kryptografii, w tym w stosownych przypadkach
        szyfrowania,
    l) stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego
        systemu cyberbezpieczeństwa oraz wewnątrz podmiotu, uwzględniających
        uwierzytelnianie wieloskładnikowe w stosownych przypadkach,
    m) zarządzanie aktywami,
    n) polityki kontroli dostępu;
3) zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu
    informacyjnego wykorzystywanego do świadczenia usługi;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo
    systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:
    a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
    b) regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,
    c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
    d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń, w tym również czasowe ograniczenie ruchu sieciowego przychodzącego do infrastruktury podmiotu kluczowego lub podmiotu ważnego, które może skutkować zakłóceniem usług świadczonych przez ten podmiot, z uwzględnieniem konieczność minimalizacji skutków ograniczenia dostępności tych usług, z uwagi na podjęte działania.
        2. Wdrażając środki, o których mowa w ust. 1 pkt 2 lit. e, podmiot kluczowy lub podmiot ważny uwzględnia:
1) podatności związane z dostawcą sprzętu lub oprogramowania;
2) ogólną jakość produktów ICT, usług ICT i procesów ICT pochodzących od dostawcy sprzętu
    lub oprogramowania;
3) wyniki skoordynowanej oceny bezpieczeństwa przeprowadzonej przez Grupę Współpracy,
    o której mowa w art. 22 ust. 1 dyrektywy Parlamentu Europejskiego i Rady (UE)
    2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego
    poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE)
    nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148
    (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022, str. 80), zwanej dalej „dyrektywą
    2022/2555";
4) wyniki postępowania, o którym mowa w art. 67b.
        3. Podmiot ważny będący podmiotem publicznym albo podmiotem, o którym mowa w art. 7 ust. 1 pkt 1–4 i 6–7 ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce, niebędącym organizacją badawczą w zakresie, w jakim realizuje zadania publiczne z wykorzystaniem systemów informacyjnych, nie stosuje przepisu ust. 1. Podmiot, o którym mowa w zdaniu pierwszym, opracowuje, wdraża, realizuje, monitoruje i utrzymuje w systemach informacyjnych kontrolowanych przez ten podmiot system zarządzania bezpieczeństwem informacji spełniający wymogi okreś-lone w załączniku nr 4 do ustawy.
        4. Podmiot publiczny uwzględnia w systemie zarządzania bezpieczeństwem informacji system informacyjny dostarczany przez inny podmiot publiczny, w tym na podstawie przepisów ustawy, w szczególności system informacyjny zapewniający działanie rejestru publicznego w zakresie odpowiadającym zakresowi kompetencji tego podmiotu, wynikającym z polityki bezpieczeństwa danego systemu informacyjnego lub przepisów prawa regulujących sposób działania tego systemu.